银行业内控管理和执行力建设的良好实践介绍与案例分析

1银行业内控管理和执行力建设的良好实践介绍与案例分析香港金融管理局冯敦孝高级经理日期:2011年9月27日2讲座重点监管机构对银行的内控与风险管理要求介绍银行内控管理和执行力建设的良好实践介绍3主要內容1.什么是内部监控系统?2.银行公司治理的主要原则3.监管机构对银行的内控与风险管理要求4.「职能分离」的重要原则5.某国际性银行的内控机制介绍6.某些国际先进银行的合规工作方式介绍7.对本地与海外分支机构的监控8.国际案例讨论9.风险的识别与评估10.风险的监测与汇报11.《新资本协议》框架的基本要点12.关于操作风险方面的资本计提方法13.内控与风险管理的关系14.总结4什么是内部监控系统?(1)定义一家机构内建立的一整套控制系统，其范围函盖财务管理及其它方面。该系统可使机构有规律及有效地进行业务活动，确保遵守管理政策，保护机构拥有的资产，及尽可能地维持帐目记录的详尽性及准确性。(节录自英国会计师公会的审计指引)5什么是内部监控系统?(2)内控机制:主要分作2大类：(1)「主要」primary的内控机制及(2)「次要」secondary的内控机制.「主要」的内控机制:主要是预防性的控制-为了防止风险事件的发生，以及侦察性的控制-为了测定有否风险事件的存在。「次要」的内控机制：主要是指日常的监控手段，例如：日常管理层对预算的检讨、对内部管理报表的检讨、利用财务分析手段检讨各部门的业务表现等等。6银行的倒闭可能对整个银行体系造成系统性的影响，损害金融及社会经济的稳定性。银行的资金主要来自存款人，股东的资金只占小部份。银行应以本身的稳健性及存款人的利益为先，做好公司治理、内部控制及风险管理。前言7银行的拥有权与管理权应分开，聘用专业管理人员。明确分配决策权和责任。清楚列明决策的规则和程序。制订银行的业务目标，以审慎的方式经营业务，及保障存款人的利益。银行公司管治的主要原则8银行组织架构董事会执行委员会信贷委员会资产负债管理委员会薪酬委员会提名委员会审计委员会行政总裁及高级管理层信贷部市场部零售业务部资金部风险管理部信息系统部财务部操作部内部审计股东大会外部审计人事部合規部9银行公司管治主要组成部份董事会监管机构管理层审计委员会内部审计外聘审计师监控路线报告路线股东大会各专责委员会10大纲第一部份:内部监控及风险管理系统的一般架构第二部份:内部监控系统(内控)第三部份:审计功能第四部份:风险管理系统(风管)11第一部份内部监控及风险管理系统的一般架构12內控及風管一般架構(1)專責委員會:負責內控及風險管理工作董事局對內部監控及風險管理負有最終責任執行委員會/風險管理委員會資產及負債委員會審計委員會信貸委員會業務操作風險管理委員會其他風險管理委員會高級管理層:負責監察日常風險管理工作個別業務部門負責遵守政策、程序及限額(前線部門)法規遵行部門負責遵行法律規定及監管要求風險管理部門負責日常風險管理(中間部門)內部審計部門負責進行獨立審計13银行内控及风险管理组织架构图（请参阅附件1）14一般架构(2)有效之内控及风管架构建基于:(1)有效的公司管治董事局及高级管理层的监察政策及程序守则权限分配(2)适当的内控及风管环境公司文化确认了内控及风管的重要性(3)分工适当的公司组织架构独立的内控及风管功能(4)足够的及准确的帐目及记录以便查核及确定风险的性质、量度、监控及汇报15第二部份內部監控系統(內控)16内部监控系统(1)良好的内控系统有助一家机构达到以下目标:有助提高运作效率提供可靠的财务数据确保资产的安全性及有效运用减少因失误、欺诈等不当行为所引起的损失确保有效的风险管理系统确保能遵守法律及监管规定17内部监控系统(2)对银行而言，内控系统应包括以下主要范围:(1)高层次的监控(2)对各主要业务范围的监控(3)对财务会计系统的监控(4)对信息科技系统的监控(5)对外包业务的监控(6)对遵守法规的监控(7)对防止清洗黑钱活动的监控（巴塞尔委员会的定义）18内部监控系统(3)(1)高层次的监控有效的公司管治制度明确合理的权限清晰的政策及规章制度各主要功能的分割，确保互相约束及制衡(例：业务发展、风险管理、会计、结算、审计、法规等功能应各自分开及互相制衡)19内部监控系统(4)(2)对各主要业务范围的监控银行可概括地分为以下主要业务：零售银行、批发银行、企业银行、私人银行及财资业务等。对每项主要业务，应建立清晰的业务目标、功能及责任、权力分配、审批制度、额度控制及敏感工作地点之出入管制等。20内部监控系统(5)(3)对财务会计系统的监控目的：確保管理信息系统的准确性及效率確保定期进行的财务预算順利確保能定期向管理层提交足够的财务报告確保能准确地與及时地向监管机构呈交所需的报表21内部监控系统(6)(4)對資訊科技系統的監控目的：确保信息科技系统能应付业务所需确保拥有足够资源及人材确保系统的运作、保养及提升确保具备有效的应变计划以应付突发事件22内部监控系统(7)(5)对外包业务的监控目的：确保具備一套清晰的外包策略确保清楚了解外包合作伙伴的专业能力及可靠性确保能有效监察合作伙伴，并定期审查外包业务的运作应建立有效的应变计划应清楚了解及遵守监管机构对外包方面的监管要求23内部监控系统(8)(6)对遵守法规方面的监控职能：监控银行的日常商业活动，确保严格遵守法律的规定、监管的规定以及银行既定的政策与程序。具備有效的合規功能的先決條件:独立的合规部门，能直接向董事局、专责委员会、或最高管理层报告拥有足够的资源及称职的员工24内部监控系统(9)(7)对防止洗黑钱活动的监控清晰的“认识您的客户”(“KnowYourCustomer”Policy)的政策及程序有效的识别可疑交易的系统及汇报程序遵守法律规定,与执法机构保持合作足够的员工培训定期的审计及合规检查委任专责的反洗钱合规主任反恐怖融资25第三部份審計功能26审计功能(1)审计功能是内控系统的重要组成部份审计功能由三方共同承担:(a)审计委员会(b)内部审计(c)外聘审计27审计功能(2)(a)审计委员会由非执行董事组成，大部份应为独立非执行董事主要职能：对于内控及风管方面事宜向董事局提供独立的意见监察内部及外聘审计师的工作表现通监察会计及财务报告的政策及实施情况协助董事局监控公司的合规情况协助董事局履行作为受托管理人的责任28審計功能(3)(b)内部审计有效内部审计功能的先决条件：拥有独立的自主权以决定内部审计之范围及方法明确规定业务部门管理层必須对内部审计的建议作出适当的回应采用有效的方法以识别银行内部存在的主要风险具备足够的资源及称职的审计人员能随时直接向董事会及审计委员会汇报具备取得任何资料或向银行任何员工提出訊问作審計用途的权力内审部主管的委任与撤职必须通过董事会及审计委员会的审批。29审计功能(4)(b)内部审计(续)主要职能审查及评估内控及风管系统的有效性对各操作范围进行内部审核在审计委员会指令下参与个别的调查项目评估业务部门是否遵守既定的业务策略,政策及程序30审计功能(5)(c)外聘审计师按照会计准则履行专业的审核由董事局委任(非受聘于管理层)主要职能：对银行的财务报表提供具法律责任的意见，并签署银行的年报对银行的财务会计及内控系统向董事局提供独立的意见履行相关的法律及监管规定(金管局规定外聘审计师必须按照“银行条例”的框架定期进行审核。外聘审计师若发现重要事项，必须主动报告金管局，并须出席「三方会议」。)31审计功能(6)(c)外聘审计师(续)其它重点外聘审计师的部份工作可倚靠内部审计师之审计结果。但外聘审计师需尽其所能履行其审计工作责任及按照专业守则在其审计范围內作出独立的意见。外聘审计师应避免利益冲突之可能性。(例：不应同时出任银行的审计师及财务顾问)32第四部份风险管理系统(风管)33风险组织架构(1)風險管理委員會董事局及管理层之监控公司管治政策及程序风险管理•风险的识别•风险的量度•风险的监察•风险的控制•风险的汇报重点:•独立风管功能•分工策略风险法律风险业务操作风险市场风险利率风险流动资金风险信誉风险信贷风险公司风险管理文化内部审计34风险管理系统(2)风管主要组成部份:(a)风险的识别(b)风险的量度(c)风险的监察(d)风险的控制(e)风险的汇报35风险管理系统(3)(a)风险的识别识别在业务活动中潜在的各种风险八类主要风险：信贷、市场、利率、流动性、操作、策略、法律及声誉36风险管理系统(4)例子：银行拟购入一种由境外公司发行之定息外币债券信贷风险-发债者能否履行合约及它的償还能力？市场风险-债券价格及汇率的波动？利率风险-利率基点风险、孳息曲线风险、期权风险(若附带提早或延迟赎回条款)流动资金风险–相關债券在市场的買賣活跃程度？业务操作风险–審批过程、對财资部门操作的监控、结算风险等？法律风险-法律文件的完备性、发债者及投资者(银行)是否已遵守一切有关的法律规定？策略风险-银行买入该债券是否符合既定的业务策略？声誉风险-此项投资是否影响公众人士(如小股东及存款人)的信心？37风险管理系统(5)(b)风险的量度量度必须详尽及准确分别计算每种不同的风险，并综合评估整体的风险程度计算风险与回报的关系量度不同风险的方法介紹：(1)市埸风险市价估值mark-to-market(应由独立部门专责定期进行)压力测试(应考虑各种可能出现的不利情况)「估计亏损风险值」(Value-at-Risk“VAR”)38风险管理系统(6)(b)风险的量度(续)量度不同风险的方法介紹(续)：(2)利率风险计算当利率水平发生变化时，对银行的：(1)短期利息收入的影响；及(2)“经济价值”（EconomicValueofEquity“EVE”)的影响。(例:「缺口表」GapAnalysis或「久期」Duration方法)。压力测试(例:利率水平发生不同的变化时对银行利息收入及支出的影响)。(3)信贷风险建立完善的资产评级分类系统(巴塞尔新资本协议的[标准方式]容许银行参考国际信贷评级进行资产评级分类，该新协议的[内部评级方式]亦容许较大型及先进的银行根据其业务特性建立内部资产评级分类系统)计算「违约概率」ProbabilityofDefault(“PD”)计算不良贷款的金额及坏账拨备额等压力测试(例:不良贷款额发生不同的变化时对银行财务状况的影响)39风险管理系统(7)(c)风险的监察独立部门负责监察：各业务部门是否在既定的内部限额额度内进行业务？有否超额？有否不按既定的风险管理政策办事？40风险管理系统(8)(d)风险的控制建立完善的风管政策及操作守则，并须经董事局或其下委员会(例:资产负债管理委员会、信贷委员会)审议及批核适当的分工，独立部门负责风险监控的功能，不应由业务部门负责其它的后台部门(例:结算部、信贷管理部、资料统计部等)应向风险监控部门提供适当支持建立风险控制额度，监控超额情况，向管理层报告一切超额及违规事件41风险管理系统(9)(d)风险的控制(续)在订立额度时，管理层应考虑以下因素:交易对手的信誉及还款能力产品及市埸之特性公司的经营策略及风险承担能力公司的资本充足水平收入来源的分配内控及风管系统的建全性业务人员的专业知识及经验未来的经济展望42风险管理系统(10)(d)风险的控制(续)不同的风险控制额度例子:(1)市埸及利率风险:整体限额、合约总额、停止亏损额、到期日的限额、利率基点损失额、「估计亏损风险值」限额(VARlimit)、触发行政干预的限额(2)信贷风险:对个别授信户、行业、国家的授信限额抵押及非抵押的授信限额(应审慎评估抵押品的价值及定期作重估)与银行有关连的授信户限额43风险管理系统(11)(e)风险的汇报必須能提供及时及准确的信息給管理层及有关人员，以便能及时控制风险。保持信息系统的详尽性及可靠性。建立预警